Я пишу несколько скриптов для Expression Engine, и мне сказали, что каждый фрагмент данных, который мывыход на страницу, требуетдезинфицирующий», чтобы предотвратить XSS.

Например, здесь я выбираю все категории из базы данных, сортирую их в массив и возвращаю в Expression Engine.

PHP функция

public function categories()
{
    $query = $this->crm_db->select('name, url_name')
        ->order_by("name", "asc")
        ->get_where('activities_categories', array('active'=>1));

    foreach($query->result() as $row)
    {
        $activityCategories[0]['cats'][] = array(
                    'categoryName' => $row->name,
                    'categoryURL' => $row->url_name,
                );
    }   
    return $this->EE->TMPL->parse_variables($this->EE->TMPL->tagdata, $activityCategories);
}

Код шаблона

            {exp:activities:categories}
                {cats}
                    <a href="/{categoryURL}">{categoryName}</a>
                {/cats}
            {/exp:activities:categories}

Мне говорят, что мне нужно использовать функцию htmlspecialchars () на каждом выводимом фрагменте данных.

Это необходимо?

Это правильно?

Пример:

foreach($query->result() as $row)
{
    $activityCategories[0]['cats'][] = array(
                'categoryName' => htmlspecialchars($row->name),
                'categoryURL' => htmlspecialchars($row->url_name),
            );
}   

Большое спасибо! :)